信息安全的內(nèi)容
添加時(shí)間:2014-06-19 19:20:55
網(wǎng)絡(luò)技術(shù)的發(fā)展加速了信息的傳輸和處理,縮短了人們之間的時(shí)空距離,方便了交流;同時(shí)對信息安全提出了新的挑戰(zhàn)��。據(jù)統(tǒng)計(jì)�����,全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵���;互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件平均以每月260%的速度增加����;約70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失����。國與國之間的信息戰(zhàn)問題更是關(guān)系到國家的根本安全問題。
信息安全已擴(kuò)展到了信息的可靠性�����、可用性�����、可控性���、完整性及不可抵賴性等更新����、更深層次的領(lǐng)域�。這些領(lǐng)域內(nèi)的相關(guān)技術(shù)和理論都是信息安全所要研究的領(lǐng)域��。國際標(biāo)準(zhǔn)化組織(ISO)定義信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù),保護(hù)計(jì)算機(jī)硬件����、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞��、更改和泄露”��。
信息安全一般包括實(shí)體安全����、運(yùn)行安全、信息安全和管理安全四個(gè)方面的內(nèi)容�。
實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通訊與存儲介質(zhì)免遭地震��、水災(zāi)����、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施���、過程��。
運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)���,提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤���、備份與恢復(fù)���、應(yīng)急措施)來保護(hù)信息處理過程的安全。
信息安全是指防止信息資源的非授權(quán)泄露���、更改����、破壞�,或使信息被非法系統(tǒng)辨識、控制和否認(rèn)�。即確保信息的完整性、機(jī)密性��、可用性和可控性�。
管理安全是指通過信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段,確保系統(tǒng)安全生存和運(yùn)營���。
美國國家電信與信息系統(tǒng)安全委員會(NTISSC)主席�、美國C3I負(fù)責(zé)人、前國防部副部長Latham D C認(rèn)為�����,信息安全(INFOSEC)應(yīng)包括以下六個(gè)方面:
? 通信安全(COMSEC)
? 計(jì)算機(jī)安全(COMPUSEC)
? 符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)(TEMPEST)
? 傳輸安全(TRANSEC)
? 物理安全(Physical Security)
? 人員安全(Personnel Security)
綜上所述�,信息安全的主要內(nèi)容包括:機(jī)密性(Confidentiality)、完整性(Integrity)�����、可用性(Availability)�、真實(shí)性(Authenticity)和有效性(Utility)。
在BS7799中 信息安全主要指信息的機(jī)密性(Confidentiality)����、完整性(Integrity)和可用性(Availability)的保持。即指通過采用計(jì)算機(jī)軟硬件技術(shù)����、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施�����,來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生�����、傳輸、交換����、處理和存儲的各個(gè)環(huán)節(jié)中���,信息的機(jī)密性�����、完整性和可用性不被破壞��。
機(jī)密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問到信息�。信息的機(jī)密性依據(jù)信息被允許訪問對象的多少而不同��,所有人員都可以訪問的信息為公開信息�,需要限制訪問的信息為敏感信息或秘密信息,根據(jù)信息的重要程度和保密要求將信息分為不同密級�。例如,軍隊(duì)內(nèi)部文件一般分為秘密���、機(jī)密和絕密三個(gè)等級����,已授權(quán)用戶根據(jù)所授予的操作權(quán)限可以對保密信息進(jìn)行操作。有的用戶只可以讀取信息�,有的用戶既可以進(jìn)行讀操作有可以進(jìn)行寫操作。
信息的完整性是指要保證信息和處理方法的正確性和完整性����。信息完整性一方面是指在使用、傳輸�����、存儲信息的過程中不發(fā)生篡改信息�、丟失信息、錯(cuò)誤信息等現(xiàn)象�����;另一方面是指信息處理的方法的正確性���,執(zhí)行不正當(dāng)?shù)牟僮?��,有可能造成重要文件的丟失,甚至整個(gè)系統(tǒng)的癱瘓。
信息的可用性是指確保那些已被授權(quán)的用戶在他們需要的時(shí)候����,確實(shí)可以訪問得到所需要信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候��,可以立即獲得�����。例如��,通信線路中斷故障��、網(wǎng)絡(luò)的擁堵會造成信息在一段時(shí)間內(nèi)不可用���,影響正常的業(yè)務(wù)運(yùn)營,這是信息可用性的破壞��。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)�。
另外還要保證信息的真實(shí)性和不可否認(rèn)性,即組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。
